ISO/IEC 20000-1 BİLGİ TEKNOLOJİSİ - HİZMET YÖNETİMİ BAŞ DENETÇİ EĞİTİMİ Bilgi Güvenliği Risk Değerlendirme Yaklaşımları
E1-yüksek seviye bilgi güvenliği risk değerlendirmesi Yüksek seviye değerlendirme, aksiyonlardaki kronoloji ve öncelikleri tanımlar. Çeşitli nedenlerle (ki bu nedenler çoğu zaman ekonomiktir), tüm kontrollerin uygulanması mümkün olmayabilir ve risk tedavi prosesinde sadece en kritik riskler ele alınıyor olabilir. Aynı şekilde, eğer uygulama sadece bir ya da iki yılı öngörüyorsa, detaylı risk yönetimine başlamak için çok erkendir. Amaca ulaşmak için, risk değerlendirmesi, tehdit-açık-varlık-sonuçlar içeren detaylı bir değerlendirme yerine, sonuçlara dair yüksek seviyeli risk değerlendirmesi yapılabilir. Yüksek seviye değerlendirmeyle başlamak için bir diğer neden, değişim yönetimiyle ilgili diğer planlarla senkronize olmaktır. Örnek olarak, yakın zamanda dış kaynaklı planlanan bir sistem ya da uygulamayı tamamen güvence altına almak mantıklı değildir, buna rağmen dış kaynak kontratını tanımlamak için risk değerlendirmesi yapmak mantıklıdır.
E1-yüksek seviye bilgi güvenliği risk değerlendirmesi Yüksek düzeyde risk değerlendirmesi yinelemenin özellikleri aşağıdakileri içerebilir; Değerlendirme, organizasyon ve bilgi sistemi hakkında, teknolojik cepheyi iş çevresinden bağımsız tutmak yoluyla, daha genel bir bilgiyi adres edebilir. Bunu yaparak, bağlam analizi faaliyet ve operasyonel kısma, teknolojiye nazaran, daha çok konsantre olabilir. Yüksek seviye risk değerlendirmesi, risk ya da saldırı senaryolarına, onları oluşturan elemanlara nazaran, dikkatini verebilir.
E1-yüksek seviye bilgi güvenliği risk değerlendirmesi Bu değerlendirmede gösterilen riskler, belirli tanımlı risklere göre daha genel alanları içerir. Senaryo ya da tehditler gruplara ayrıldığında, risk tedavi, bu alandaki kontrollerin listesini önerir. Risk tedavi aktiviteleri bundan sonra, uygun kontroller öneri ve seçimlerini dener. Fakat, yüksek seviye değerlendirme, teknoloji detaylarına seyrek değindiği için, organizasyonel teknik olmayan teknik kontrollerin yönetimlerim ya da yedekler, antivirüs programları gibi kontrollerin uygulanması doğrudur. Yüksek seviye risk değerlendirmesinin avantajları şunlardır; -Başlangıçta basit yaklaşımla şirketleşme içinde, risk değerlendirme programının kabulü muhtemelen sağlanacaktır. -Organizasyonel bilgi güvenliği programının genel stratejik resmini görmek mümkün olacaktır. İyi bir yardım planlayıcı görevi görecektir.
E1-yüksek seviye bilgi güvenliği risk değerlendirmesi Kötü taraflarından biri, yeterli detayı sağlayamayacağı için daha detaylı bir risk değerlendirmesine ihtiyaç doğurabilir. Organizasyonun tüm unsurları, bilgi ve sistemleri hakkında yeterli bilgi varsa (güvenlik olaylarından elde edilen bilgilerin değerlendirmeleri dahil), tekrarlama gereksiniminden kurtulunabilir. Yüksek seviye risk değerlendirmelerinde bilgi varlıklarının faaliyet değerleri ve organizasyonun bakış açısından riskler dikkate alınır. Birinci karar noktasında (şekil 1), bu tip değerlendirmenin yeterliliğinin anlaşılmasında, bazı faktörlerin yardımları gerekir ve o faktörler aşağıdakileri içerebilir; -Çeşitli bilgi varlıkları kullanılarak ulaşılacak faaliyet hedefleri -Organizasyon faaliyetlerinin dayandığı her bilgi varlığının değeri
E1-yüksek seviye bilgi güvenliği risk değerlendirmesi -Her bilgi değerine yapılan yatırım,yapılandırma, bakım-devamlılık, değerin değişimi, -Organizasyonun doğrudan değer atanan bilgi varlıkları Bu faktörler değerlendiği zaman, karar verme kolaylaşır. Bir varlığın değeri, organizasyonun iş yapısı için çok önemli ya da varlıklar yüksek risk altındaysa belirli bilgi varlıkları için, ikinci bir tekrarlama, detaylı risk değerlendirmesi, yapılabilir. Uygulanacak genel kural, eğer bilgi eksikliği organizasyon, faaliyet, varlıklar için ciddi olumsuz sonuçlara yol açacaksa, potansiyel riskleri tanımlamak için daha detaylı bir ikinci tekrarlama yapılmalıdır.
Detaylı bilgi güvenliği risk değerlendirmesi prosesi, varlıkların, varlıklara yönelen tehditlerin ve varlıkların içerdiği güvenlik açıklarının daha detaylı bir incelemesini içerir. Bu aktivitelerden elde edilen sonuçlar, riskleri değerlemede ve risk tedavisi tanımlamada kullanılır. Detaylı adım oldukça fazla zaman, efor ve uzmanlık gerektirir, bu yüzden en uygun olduğu yer yüksek riskli bilgi sistemleridir. Sonuçlar kanitatif, parasal, kalitatif yöntemler, ya da birbirleriyle kombinasyonları gibi farklı yollarla değerlenebilir. Tehdit olaylarını değerlendirmek için, hangi varlığın değere sahip olacağı ya da korunmaya ihtiyacı olduğu, zaman çerçevesinde tesis edilmelidir.
Belirli bir tehdit olayının olasılığı şunlardan etkilenir; -Varlığın çekiciliği, ya da olası kasti insan tehdidi düşünüldüğünde ortaya çıkacak olası uygulanabilir darbe, kasti insan tehditlerinde kullanılır - kasti insan tehdidi düşünüldüğünde, bir güvenlik açığı ihlalini ödüle çevirebilme kolaylığı -tehdit ajanının/etmeninin teknik yetenekleri, insan tehditlere uygulanabilir, -güvenlik açığı istismarına duyarlılık, teknik ve teknik olmayan açıklara uygulanabilir. Birçok metot tablolardan, öznel kombinasyon ve ampirik önlemlerden faydalanır. Burada önemli olan, kullanımı organizasyon için en rahat olan metodun kullanılmasıdır. Aşağıda tablo özlü bazı örnekler verilmiştir.
E 2.1- Örnek 1 Önceden tanımlanmış değerlerden oluşturulan matris Bu metot, güncel ya da düşünülen fiziksel varlıkları, yerine koyma ve yeniden yapılanma maliyetleriyle değerler. Bu maliyetler, bilgi için kullanılanlarla aynı kalitatif ölçeğe çevrilirler. Var olan ya da düşünülen yazılım varlıkları da fiziksel varlıklarla aynı prosesten geçer, satın alma ve yeniden yapılanma bedelleri, bilgi için kullanılan aynı kalitatif ölçeğe çevrilir. Gizlilik ve bütünlük için içsel gereksinimleri bulunan uygulama yazılımları da bilgiyle aynı şekilde ölçeklenirler. Bilgi değeri, data hakkında konuşma izni olan faaliyet yönetimiden, kullanılan verinin hassasiyet ve değerini anlamak, depolamak, işlemek ya da erişmek için mülakat aracılığıyla alınır.
E 2.1- Örnek 1 Önceden tanımlanmış değerlerden oluşturulan matris Bu mülakatlar veri değerlemesinde en kötü olay senaryoları hakkında bilgi elde edinmeyi de kolaylaştırır. Değerleme, bilgi değerleme kılavuzları aracılığıyla yapılır ve şunları içerir; -kişisel güvenlik -kişisel bilgi -yasal ve düzenleyici yükümlülükler -kolluk -ticari ve ekonomik ilgi -finansal kayıp/aktivitelerin durması -kamu düzeni -iyi niyet kaybı -bir müşteriyle kontrat ya da anlaşma
E 2.1- Örnek 1 Önceden tanımlanmış değerlerden oluşturulan matris Bu kılavuzlar, değer kimliklerini sayısal ölçeğe döker, bu sayede olası ve mantıklı olduğunda kalitatif tanınmayı ve kantitatif değer mantıklı olmayınca kalitatif değerlerin kullanılmasını sağlar. Aşağıdaki örnekte sayısal değerler 0-4 arası verilmiştir. Bir sonraki majör aktivite, her bir tehdit tipi, tehdit tipine göre gruplanan varlıklar, tehdit seviyeleri değerlemeleri ve güvenlik açıkları ile ilgili anket çiftlerinin tamamlanmasıdır. Her soru bir skor çekmektedir. Bu skorlar bir bilgi havuzunda toplanır ve aralıklarla karşılaştırılır. Aşağıdaki matriste, tanınmış tehdit seviyeleri düşükten yükseğe doğru, güvenlik açık seviyeleri eşit sayılarak, sıralanmıştır.
E 2.1- Örnek 1 Önceden tanımlanmış değerlerden oluşturulan matris Anketleri bitirmek için gereken bilgi, doğru teknik ve katılımcı personelden, araştırma yapılan fiziksel bölgeden ve dökümantasyon gözden geçirmelerinden elde edilmelidir. Aşağıdaki matriste, her tiple ilgili sonuçların varlık değerleri ve tehdit ve açık seviyeleri, her kombinasyonun mantıklı ilgili 0 dan 8 e doğru atanmış değeriyle eşleştirilmiştir.
E 2.1- Örnek 1 Önceden tanımlanmış değerlerden oluşturulan matris
E 2.1- Örnek 1 Önceden tanımlanmış değerlerden oluşturulan matris Her bir varlık için, ilgili tehdit ve ilgili açıklar düşünülmüştür. Açıksız bir tehdit, ya da tehditsiz bir açık varsa, şu anda risk yoktur (ancak değişimler izlenmelidir). Şimdi matristeki uygun satır, varlık değerini, uygun sütun da istismar kolaylığı ve oluşma-tehdit olasılığını göstermektedir. Örneğin, değeri 3 olan bir varlığın tehdidi yüksek ve güvenlik açığı düşükse, risk ölçümü 5 olacaktır. Satır ve sütundaki değerler, organizasyonun ihtiyacına göre düzenlenebilir, artırılabilir, azaltılabilir, değerleme kategorileri eklenebilir, çıkartılabilir. Ek risk sıralamaları için yeni satır ve sütunlar gerekecektir.
E 2.1- Örnek 1 Önceden tanımlanmış değerlerden oluşturulan matris Benzer bir matris tablo E 1 b de verilmiştir. Olayın olasılık senaryosu kurgulanmıştır. Burada tahmini iş etkisine karşı eşlenen bir olay senaryonun olasılığı göz önüne alınmıştır. Bu tablo, olasılıkla, faaliyet etkisini karşılaştırır. Ortaya çıkan liste,0 dan 8 e doğru risk kabul kriterlerine göre değerlendirilir. Bu risk ölçeği de basit bir genel risk değerlendirmesi için eşleştirilebilir, örneğin Düşük: 0-2 Normal:3-5 Yüksek:6-8
E 2.1- Örnek 1 Önceden tanımlanmış değerlerden oluşturulan matris
E2.2 Tehditlerin Risk Önlemlerine Göre Sıralanması Tablo E.2 de sonuç faktörleri (varlık değeri) ve tehdit vuku olasılığı arasındaki ilişki gösterilmiştir. İlk adım, sonuçların önceden belirlenmiş bir ölçekte değerlenmesidir (tehdit altında olan her varlık için yapılır ve örnekte sütun b de 1 den 5 e kadar değerler verilmiştir). İkinci adım, her bir tehdidin, tehdit vuku olasılığının değerlenmesidir (1 den 5 e kadar, sütun c de). Üçüncü adım, riski b ve c yi çarparak hesaplamaktır. Son olarak tehditler, oluşturulan risk değerlerine göre sıralanmalıdır. Not: bu sıralamadaki en düşük değer 1 olarak atanmıştır.
E2.2 Tehditlerin Risk Önlemlerine Göre Sıralanması Yukarıda görüldüğü gibi bu prosedür farklı sonuçları olan farklı tehditleri ve olma olasılıklarını karşılaştırır ve sıralar. Bazı durumlarda, ampirik ölçekleriyle bazı parasal değerleri eşlemek gerekebilir.
E2.3 Olasılık ve Risk Olası Sonuçları İçin Bir Değer Değerlendirilmesi Bu örnek, bilgi güvenliği olay sonuçları ve hangi sistemlere öncelik verilmesi gerektiğinin anlaşılması arasında kurulmuştur. Bu, her varlık ve risk için iki değer atar ve bu değerlerin kombinasyonu her bir varlık için skoru belirler. Bütün varlık skorları sistem tarafından toplandığında, bu sistem için risk ölçüsü belirlenir. Öncelikle, her varlık için bir değer belirlenir. Bu değer, varlık tehdit tarafından etkilenirse, yaratılacak olan ters etkiyle ilişkilidir. Varlığa uygulanabilecek her bir tehdit için, bu varlık değeri varlığa atanır. Sonra, olasılık değeri belirlenir. Bu değer, tehdit vuku olasılığı ve güvenlik açığının istismar kolaylığı değerlerinin kombinasyonuyla oluşur, bir olayın olma olasılığı tablosu olan tablo 3 e bakınız.
E2.3 Olasılık ve Risk Olası Sonuçları İçin Bir Değer Değerlendirilmesi
E2.3 Olasılık ve Risk Olası Sonuçları İçin Bir Değer Değerlendirilmesi Sonra, tablo E 4 deki varlık değerleri ve olasılık değerlerinin kesişimin den varlık/tehdit skoru bulunur. Bu skor toplanarak varlık toplam skoru oluşturulur. Bu rakam sisteminin bir parçasını oluşturan varlıklar arasında ayrım yapmak için kullanılabilir.
E2.3 Olasılık ve Risk Olası Sonuçları İçin Bir Değer Değerlendirilmesi Son adım, sistemdeki tüm varlıkların toplam skorlarını toplayarak, sistem skoru elde etmektir. Bu sistemleri karşılaştırmada ve hangi sistem korumasına öncelik verilmesi gerektiğini anlamada kullanılır. Aşağıdaki örneklerde tüm değerler rastgele seçilmiştir; Destek sistemi S, A1, A2, A3 olmak üzere üç varlığa sahiptir. Ayrıca sisteme uygulanabilecek T1 ve T2 olarak tanımlanmış iki tehdit bulunmaktadır. A1 in değeri 3, A2 nin değeri 2 ve A3 ün değeri 4 olsun. Eğer A1 T1 için, tehdit olasılığı düşük ve güvenlik açığı istismar kolaylığı normalse, olasılık değeri 1 olur (tablo 3 e bakınız).
E2.3 Olasılık ve Risk Olası Sonuçları İçin Bir Değer Değerlendirilmesi A1/T1 varlık/tehdit skoru tablo 4 ten varlık değeri 3 ve olasılık değeri 1 kesişimin den 4 olarak elde edilecektir. Aynı şekilde, A1/T2 için tehdit olasılığı normal, güvenlik açığı istismar kolaylığı yüksek olsun. Buradan A1/T2 skoru 6 olarak bulunacaktır. Şimdi A1T toplam varlık skoru hesaplanır ve değer 10 çıkacaktır. Toplam varlık skoru her varlık ve uygulanabilir tehdit için hesaplanır. Toplam sistem skoru A1T+A2T+A3T eklenerek hesaplanır. Bu sonuç sistemleri karşılaştırmada ve hangi sistem korumasına öncelik verilmesi gerektiğini anlamada kullanılabilir. Yukarıdaki örnekler bilgi sistemleri çerçevesinde oluşturulmuştur ancak, faaliyet proseslerine de aynen uygulanabilir.